我的 Web 应用程序配置在服务器场中具有 Cisco ACE 负载平衡,并且我还想使用 ACE 作为 SSL 端点。为了实现这一点,网络架构师提出了一种设计,其中所有安全页面都必须从 secure.my-domain.com 提供,而非安全页面则从 www.my-domain.com 提供。这样做的原因显然是,将 Cisco ACE 配置为接受特定公共 IP 的端口 443 上的 HTTPS 请求会阻止同时接受同一 IP 的端口 80 上的 HTTP 请求。虽然我不是网络(或 Cisco)专家,但这似乎是直观错误的,因为它会阻止任何使用 Cisco ACE 同时在和上提供页面的网站http://www.my-domain.com。https://www.my-domain.com在这种情况下,我的问题是:
- 当用作 SSL 端点时,这确实是 Cisco ACE 的限制吗?
- 如果没有,那么我是否可以假设我们可以设置 ACE 以接受端口 80 和 443 上特定 IP 的连接,并充当 443 上传入请求的 SSL 端点?此处最欢迎相关文档的链接。
- 假设上一个问题中的设置,我可以将两组请求重定向到同一端口上的同一服务器场吗?
答案1
事实并非如此。您可以配置一个 as 以将 HTTP 和 HTTPS 流量负载平衡到同一个 VIP。
示例配置:
rserver host web-01
ip address 10.x.x.x
probe SIMPLE-ICMP-PROBE
inservice
rserver host web-02
ip address 10.x.x.x
probe SIMPLE-ICMP-PROBE
inservice
serverfarm host 055-SFARM
predictor leastconns slowstart 120
probe SIMPLE-HTTP-PROBE
rserver web-01 80
inservice
rserver web-02 80
inservice
class-map match-all VIP:443
10 match virtual-address 10.1.1.2 tcp eq https
class-map match-all VIP:80
10 match virtual-address 10.1.1.2 tcp eq www
policy-map type loadbalance first-match VIP:443-POLICY
class class-default
serverfarm 055-SFARM
policy-map type loadbalance first-match VIP:80-POLICY
class class-default
serverfarm 055-SFARM
policy-map multi-match VIP-SPOLICY
class VIP:80
loadbalance vip inservice
loadbalance policy VIP:80-POLICY
loadbalance vip icmp-reply active
class VIP:443
loadbalance vip inservice
loadbalance policy VIP:443-POLICY
loadbalance vip icmp-reply active
ssl-proxy server SSL-PROXY-WITH-CERT